信息安全管理體系_第1頁(yè)
信息安全管理體系_第2頁(yè)
信息安全管理體系_第3頁(yè)
信息安全管理體系_第4頁(yè)
信息安全管理體系_第5頁(yè)
已閱讀5頁(yè),還剩33頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))MenuISO/IEC27001知識(shí)體系Menu目錄TOC\o"1-5"\h\z\o"CurrentDocument"ISMS概述 2\o"CurrentDocument"什么是ISMS 2\o"CurrentDocument"為什么需要ISMS 3\o"CurrentDocument"如何建立ISMS 5\o"CurrentDocument"ISMS標(biāo)準(zhǔn) 11\o"CurrentDocument"ISMS標(biāo)準(zhǔn)體系—ISO/IEC27000族簡(jiǎn)介 11\o"CurrentDocument"信息安全管理實(shí)用規(guī)則一ISO/IEC27002:2005介紹 17\o"CurrentDocument"信息安全管理體系要求一ISO/IEC27001:2005介紹 22\o"CurrentDocument"ISMS認(rèn)證 27\o"CurrentDocument"什么是ISMS認(rèn)證 27\o"CurrentDocument"為什么要進(jìn)行ISMS認(rèn)證 27\o"CurrentDocument"ISMS認(rèn)證適合何種類型的組織 28\o"CurrentDocument"全球ISMS認(rèn)證狀況及發(fā)展趨勢(shì) 29\o"CurrentDocument"如何建設(shè)ISMS并取得認(rèn)證 36頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))1.ISMS概述什么是ISMS信息安全管理體系(InformationSecurityManagementSystem簡(jiǎn)稱為ISMS)是1998年前后從英國(guó)發(fā)展起來(lái)的信息安全領(lǐng)域中的一個(gè)新概念,是管理體系(ManagementSystem,MS)思想和方法在信息安全領(lǐng)域的應(yīng)用。近年來(lái),伴隨著ISMS國(guó)際標(biāo)準(zhǔn)的制修訂,ISMS迅速被全球接受和認(rèn)可,成為世界各國(guó)、各種類型、各種規(guī)模的組織解決信息安全問(wèn)題的一個(gè)有效方法。ISMS認(rèn)證隨之成為組織向社會(huì)及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。在ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005(信息安全管理體系要求)的第3章術(shù)語(yǔ)和定義中,對(duì)ISMS的定義如下:ISMS(信息安全管理體系):是整個(gè)管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法,來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的。注:管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源。這個(gè)定義看上去同其他管理體系的定義描述不盡相同,但我們也可以用ISOGUIDE72:2001(Guidelinesforthejustificationanddevelopmentofmanagementsystemstandards管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則)中管理體系頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))的定義,將ISMS描述為:組織在信息安全方面建立方針和目標(biāo),并實(shí)現(xiàn)這些目標(biāo)的一組相互關(guān)聯(lián)、相互作用的要素。ISMS同其他MS(如QMS、EMS、OHSMS)一樣,有許多共同的要素,其原理、方法、過(guò)程和體系的結(jié)構(gòu)也基本一致。單純從定義理解,可能無(wú)法立即掌握ISMS的實(shí)質(zhì),我們可以把ISMS理解為一臺(tái)“機(jī)器”,這臺(tái)機(jī)器的功能就是制造“信息安全”,它由許多“部件”(要素)構(gòu)成,這些“部件”包括ISMS管理機(jī)構(gòu)、ISMS文件以及資源等,ISMS通過(guò)這些“部件”之間的相互作用來(lái)實(shí)現(xiàn)其“保障信息安全”的功能。為什么需要ISMS今天,我們已經(jīng)身處信息時(shí)代,在這個(gè)時(shí)代,“計(jì)算機(jī)和網(wǎng)絡(luò)”已經(jīng)成為組織重要的生產(chǎn)工具,“信息”成為主要的生產(chǎn)資料和產(chǎn)品,組織的業(yè)務(wù)越來(lái)越依賴計(jì)算機(jī)、網(wǎng)絡(luò)和信息,它們共同成為組織賴以生存的重要信息資產(chǎn)??墒牵?jì)算機(jī)、網(wǎng)絡(luò)和信息等信息資產(chǎn)在服務(wù)于組織業(yè)務(wù)的同時(shí),也受到越來(lái)越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息資料丟失以及利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的各種犯罪行為,人們已不再陌生,并且這樣的事件好像經(jīng)常在我們身邊發(fā)生。下面的案例更清晰的表現(xiàn)了這種趨勢(shì):2005年6月19日,萬(wàn)事達(dá)公司宣布,儲(chǔ)存有大約4千萬(wàn)信用卡客戶信息的電腦系統(tǒng)遭到一名黑客入侵。被盜賬號(hào)的信息資料已經(jīng)在互聯(lián)網(wǎng)上公開(kāi)出售,每條100美元,并可能被用于金融欺詐活動(dòng)。2005年5月19日,深圳市中級(jí)人民法院對(duì)華為公司訴其前員工案作出終審判決,維持深圳市南山區(qū)人民法院2004年12月作出的一審判決。3頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))名前華為公司員工,因辭職后帶走公司技術(shù)資料并以此贏利。這3名高學(xué)歷的IT界科技精英,最終因侵犯商業(yè)秘密罪將分別在牢房里度過(guò)兩到三年光陰。2005年7月12日下午2時(shí)35分,承載著超過(guò)200萬(wàn)用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng),突然同時(shí)大面積中斷。北京網(wǎng)通隨即投入大量人力物力緊急搶修,至3時(shí)30分左右開(kāi)始網(wǎng)絡(luò)逐漸恢復(fù)正常。這次事故大約影響了20萬(wàn)北京網(wǎng)民。2006年5月8日上午8時(shí)左右,中國(guó)工程院院士,著名的傳染病學(xué)專家鐘南山在上班的路上,被劫匪很“柔和”地?fù)屪吡耸种械墓P記本電腦。事后鐘院士說(shuō)“一個(gè)科技工作者的作品、心血都在電腦里面,電腦里還存著正在研制的新藥方案,要是這個(gè)研究方案變成一種新藥,那是幾個(gè)億的價(jià)值啊”。(以上案例均來(lái)自互聯(lián)網(wǎng))這幾個(gè)案例僅僅是冰山一角,打開(kāi)電視、翻翻報(bào)紙、瀏覽一下互聯(lián)網(wǎng),類似這樣的事件幾乎每天都在發(fā)生。從這些案例可以看出,信息資產(chǎn)一旦遭到破壞,將給組織帶來(lái)直接的經(jīng)濟(jì)損失、損害組織的聲譽(yù)和公眾形象,使組織喪失市場(chǎng)機(jī)會(huì)和競(jìng)爭(zhēng)力,更為甚者,會(huì)威脅到組織的生存。因此,保護(hù)信息資產(chǎn),解決信息安全問(wèn)題,已經(jīng)成為組織必須考慮的問(wèn)題。信息安全問(wèn)題出現(xiàn)的初期,人們主要依靠信息安全的技術(shù)和產(chǎn)品來(lái)解決信息安全問(wèn)題。技術(shù)和產(chǎn)品的應(yīng)用,一定程度上解決了部分信息安全問(wèn)題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠,即使采購(gòu)和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品,如防病毒、防火墻、入侵檢測(cè)、隱患掃描等,仍然無(wú)法避免一些信息安全事件的發(fā)生,組織安裝的許多安全產(chǎn)品成了“聾子的耳朵”。與組織中人員相關(guān)的信息安全問(wèn)題,信息安全成本和效益的平衡問(wèn)題,信息安全目標(biāo)、業(yè)務(wù)連頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))續(xù)性、信息安全相關(guān)法規(guī)符合性等問(wèn)題,依靠產(chǎn)品和技術(shù)是解決不了的。人們開(kāi)始逐漸意識(shí)到管理在解決信息安全問(wèn)題中的作用。于是ISMS應(yīng)運(yùn)而生。2000年12月,國(guó)際標(biāo)準(zhǔn)化組織發(fā)布一個(gè)信息安全管理的標(biāo)準(zhǔn)一ISO/IEC17799:2000“信息安全管理實(shí)用規(guī)則(Codeofpracticeforinformationsecuritymanagement)”,2005年6月,國(guó)際標(biāo)準(zhǔn)化組織對(duì)該標(biāo)準(zhǔn)進(jìn)行了修訂,頒布了ISO/IEC17799:2005(現(xiàn)已更名為ISO/IEC27002:2005),10月,又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求(InformationSecurityManagementSystemRequirement)”。自此,ISMS在國(guó)際上確立并發(fā)展起來(lái)。今天,ISMS已經(jīng)成為信息安全領(lǐng)域的一個(gè)熱門話題。如何建立ISMS組織的業(yè)務(wù)目標(biāo)和信息安全要求緊密相關(guān)。實(shí)際上,任何組織成功經(jīng)營(yíng)的能力在很大程度上取決于其有效地管理其信息安全風(fēng)險(xiǎn)的才干。因此,如何確保信息安全已是各種組織改進(jìn)其競(jìng)爭(zhēng)能力的一個(gè)新的挑戰(zhàn)任務(wù)。組織建立一個(gè)基于ISO/IEC27001:2005ISMS,已成為時(shí)代的需要。從簡(jiǎn)單分析ISO/IEC27001:2005標(biāo)準(zhǔn)的要求入手,下面的內(nèi)容論述了建立一個(gè)符合標(biāo)準(zhǔn)要求的ISMS的要點(diǎn)。正確理解ISMS的含義和要素ISMS建設(shè)人員只有正確地理解ISMS的含義、要素和ISO/IEC27001:2005標(biāo)準(zhǔn)的要求之后,才有可能建立一個(gè)符合要求的完善的ISMS。ISMS的含義頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))在ISO/IEC27001標(biāo)準(zhǔn)中,已對(duì)ISMS做出了明確的定義。通俗地說(shuō),組織有一個(gè)總管理體系,ISMS是這個(gè)總管理體系的一部分,或總管理體系的一個(gè)子體系。ISMS的建立是以業(yè)務(wù)風(fēng)險(xiǎn)方法為基礎(chǔ),其目的是建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。如果一個(gè)組織有多個(gè)管理體系,例如包括ISMS、QMS(質(zhì)量管理體系)和EMS(環(huán)境管理體系)等,那么這些管理體系就組成該組織的總管理體系,而每一個(gè)管理體系只是該組織總管理體系中的一個(gè)組成部分,或一個(gè)子管理體系。各個(gè)子管理體系必須相互配合、協(xié)調(diào)一致地工作,才能實(shí)現(xiàn)該組織的總目標(biāo)。ISMS的要素標(biāo)準(zhǔn)還指出,管理體系包括“組織的結(jié)構(gòu)、方針、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源”(見(jiàn)ISO/IEC27001:20053.7)。這些就是構(gòu)成管理體系的相互依賴、協(xié)調(diào)一致,缺一不可的組成部分或要素。我們將其歸納后,ISMS的要素要包括:1)信息安全管理機(jī)構(gòu)通過(guò)信息安全管理機(jī)構(gòu),可建立各級(jí)安全組織、確定相關(guān)人員職責(zé)、策劃信息安全活動(dòng)和實(shí)踐等。ISMS文件包括ISMS方針、過(guò)程、程序和其它必須的文件等。資源包括建立與實(shí)施ISMS所需要的合格人員、足夠的資金和必要的設(shè)備等。ISMS的建立要確保這些ISMS要素得到滿足。頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))1.3.2建立信息安全管理機(jī)構(gòu)1)信息安全管理機(jī)構(gòu)的名稱標(biāo)準(zhǔn)沒(méi)有規(guī)定信息安全管理機(jī)構(gòu)的名稱,因此名稱并不重要。從目前的情況看,許多組織在建立ISMS之前,已經(jīng)運(yùn)行了其它的管理體系,如QMS和EMS等。因此,最有效與節(jié)省資源的辦法是將信息安全管理機(jī)構(gòu)合并于現(xiàn)有管理體系的管理機(jī)構(gòu),實(shí)行一元化領(lǐng)導(dǎo)。2)信息安全管理機(jī)構(gòu)的級(jí)別信息安全管理機(jī)構(gòu)的級(jí)別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定。從管理效果看,對(duì)于中等以上規(guī)模的組織,最好設(shè)立三個(gè)不同級(jí)別的信息安全管理機(jī)構(gòu):a)高層:以總經(jīng)理或管理者代表為領(lǐng)導(dǎo),確保信息安全工作有一個(gè)明確的方向和提供管理承諾和必要的資源。b)中層:負(fù)責(zé)該組織日常信息安全的管理與監(jiān)督活動(dòng)。c)基層:基層部門指定一位兼職的信息安全檢查員,實(shí)施對(duì)其本部門的日常信息安全監(jiān)視和檢查工作。1.3.3執(zhí)行標(biāo)準(zhǔn)要求的ISMS建立過(guò)程按照ISO/IEC27001:2005“4.2.1建立ISMS”條款的要求,建立ISMS的步驟包括:1)定義ISMS的范圍和邊界,形成ISMS的范圍文件;2)定義ISMS方針(包括建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則等),形成ISMS方針文件;3)定義組織的風(fēng)險(xiǎn)評(píng)估方法;4)識(shí)別要保護(hù)的信息資產(chǎn)的風(fēng)險(xiǎn),包括識(shí)別:頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))a)資產(chǎn)及其責(zé)任人;b)資產(chǎn)所面臨的威脅;c)組織的脆弱點(diǎn);d)資產(chǎn)保密性、完整性和可用性的喪失造成的影響。5)分析和評(píng)價(jià)安全風(fēng)險(xiǎn),形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》文件,包括要保護(hù)的信息資產(chǎn)清單;6)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施,形成《風(fēng)險(xiǎn)處理計(jì)劃》文件;7)根據(jù)風(fēng)險(xiǎn)處理計(jì)劃,選擇風(fēng)險(xiǎn)處理控制目標(biāo)和控制措施,形成相關(guān)的文件;8)管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn);9)管理者授權(quán)ISMS的實(shí)施和運(yùn)行;10)準(zhǔn)備適用性聲明。1.3.4完成所需要的ISMS文件ISMS文件是ISMS的主要要素,既要與ISO/IEC27001:2005保持一致,又要符合本組織的信息安全的需要。實(shí)際上,ISMS文件是本組織“度身定做”的適合本組織需要的實(shí)際的信息安全管理標(biāo)準(zhǔn),是ISO/IEC27001:2005的具體體現(xiàn)。對(duì)一般員工來(lái)說(shuō),在其實(shí)際工作中,可以不過(guò)問(wèn)國(guó)際信息安全管理標(biāo)準(zhǔn)-ISO/IEC27001:2005,但必須按照ISMS文件的要求執(zhí)行工作。ISMS文件的類型根據(jù)ISO/IEC27001:2005標(biāo)準(zhǔn)的要求,ISMS文件有三種類型。1)方針類文件(Policies)方針是政策、原則和規(guī)章。主要是方向和路線上的問(wèn)題,包括:頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))ISMS方針(ISMSpolicy);信息安全方針(informationsecuritypolicy)。2)程序類文件(Procedures)3)記錄(Records)記錄是提供客觀證據(jù)的一種特殊類型的文件。通常,記錄發(fā)生于過(guò)去,是相關(guān)程序文件運(yùn)行產(chǎn)生的結(jié)果(或輸出)。記錄通常是表格形式。4)適用性聲明文件(StatementofApplicability,簡(jiǎn)稱SOA)ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A提供許多控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是最佳實(shí)踐。對(duì)于這些控制目標(biāo)和控制措施,實(shí)施ISMS的組織只要有正當(dāng)性理由,可以只選擇適合本組織使用的那些部分,而不適合使用的部分,可以不選擇。選擇,或不選擇,要做出聲明(說(shuō)明),并形成《適用性聲明》文件。(2)必須的文件“必須的ISMS文件”是指ISO/IEC27001:2005“4.3.1總則”明確規(guī)定的,一定要有的文件。這些文件就是所謂的強(qiáng)制性文件(mandatorydocuments)°“4.3.1總則”要求ISMS文件必須包括9方面的內(nèi)容:ISMS方針I(yè)SMS方針是組織的頂級(jí)文件,規(guī)定該組織如何管理和保護(hù)其信息資產(chǎn)的原則和方向,以及各方面人員的職責(zé)等。ISMS的范圍3)支持ISMS的程序和控制措施;4)風(fēng)險(xiǎn)評(píng)估方法的描述;頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))5)風(fēng)險(xiǎn)評(píng)估報(bào)告;6)風(fēng)險(xiǎn)處理計(jì)劃;7)控制措施有效性的測(cè)量程序;8)本標(biāo)準(zhǔn)所要求的記錄;9)適用性聲明。(3)可選的文件除了上述必須的文件外,組織可以根據(jù)其實(shí)際的業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的需要,而確定某些文件(包括某些程序文件和方針類文件)。這些文件就是所謂的可選的文件(Discretionarydocuments)。這類文件的內(nèi)容可隨組織的不同而有所不同,主要取決于:1)組織的業(yè)務(wù)活動(dòng)及風(fēng)險(xiǎn);2)安全要求的嚴(yán)格程度;3)管理的體系的范圍和復(fù)雜程度。這里,需要特別提出的是,ISMS的特點(diǎn)之一是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理。組織需要哪些ISMS文件及其復(fù)雜程度如何,通??筛鶕?jù)風(fēng)險(xiǎn)評(píng)估決定。如果風(fēng)險(xiǎn)評(píng)估的結(jié)果,發(fā)現(xiàn)有不可接受的風(fēng)險(xiǎn),那么就應(yīng)識(shí)別處理這些風(fēng)險(xiǎn)的可能方法,包括形成相關(guān)文件。(4)文件的符合性ISMS文件的符合性包括符合相關(guān)法律法規(guī)的要求、符合ISO/IEC27001:2005標(biāo)準(zhǔn)4-8章的所有要求和符合本組織的實(shí)際要求。為此:1)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)要求頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))在編寫ISMS文件時(shí),編寫者應(yīng)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)的相應(yīng)條款的要求,例如,在編寫ISMS方針時(shí),要參考ISO/IEC27001“4.2.1b)定義ISMS方針”;編寫適用性聲明時(shí),要參考ISO/IEC27001“4.2.1j)準(zhǔn)備適用性聲明”;編寫文件控制程序時(shí),要參考ISO/IEC27001“4.3.2文件控制”等等。2)將本組織的最好實(shí)踐形成文件為了易于操作,編寫者最好把本組織當(dāng)前的最好實(shí)踐寫下來(lái),補(bǔ)充標(biāo)準(zhǔn)的要求,形成統(tǒng)一格式的文件。3)保持一致性a)同一個(gè)文件中,上下文不能有不一致或矛盾的地方b)同一個(gè)體系的不同文件之間不能有矛盾的地方c)不同體系的文件之間不能有不一致的地方如果組織同時(shí)運(yùn)行多個(gè)管理體系,例如質(zhì)量管理體系(QMS)、環(huán)境管理體^(EMS)?ISMS等,那么各個(gè)體系的文件之間應(yīng)相互協(xié)調(diào),避免產(chǎn)生不一致的地方。此外,在文字的表達(dá)上,應(yīng)準(zhǔn)確,無(wú)二義。ISMS標(biāo)準(zhǔn)ISMS標(biāo)準(zhǔn)體系一ISO/IEC27000族簡(jiǎn)介ISMS是近兩年來(lái)在管理體系和信息安全領(lǐng)域興起的一個(gè)熱門話題,按照ISO/IEC27001建立和實(shí)施ISMS并積極申請(qǐng)認(rèn)證成為許多組織解決其信息安全問(wèn)題的選擇。ISO/IEC27000族是國(guó)際標(biāo)準(zhǔn)化組織專門為ISMS預(yù)留下來(lái)的系列相關(guān)國(guó)際標(biāo)準(zhǔn)的總稱。根據(jù)國(guó)際標(biāo)準(zhǔn)化組織的最新計(jì)劃,該系列標(biāo)準(zhǔn)的序號(hào)已經(jīng)預(yù)留到頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))27019,其中將27000?27009留給ISMS基本標(biāo)準(zhǔn),27010?27019預(yù)留給ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔。可見(jiàn)ISMS標(biāo)準(zhǔn)將來(lái)會(huì)是一個(gè)龐大的家族。ISMS國(guó)際標(biāo)準(zhǔn)化組織ISO/IECJTC1/SC27/WG1(國(guó)際標(biāo)準(zhǔn)化組織/國(guó)際電工委員會(huì)信息技術(shù)委員會(huì)/安全技術(shù)分委員會(huì)/第一工作組)是制定和修訂ISMS標(biāo)準(zhǔn)的國(guó)際組織,我國(guó)是該組織的P成員國(guó)。ISO/IECJTC1/SC27成立后設(shè)有三個(gè)工作組:WG1:需求、安全服務(wù)及指南工作組WG2:安全技術(shù)與機(jī)制工作組WG3:信息系統(tǒng)、部件和產(chǎn)品相關(guān)的安全評(píng)估準(zhǔn)則工作組在2006年5月8日至17日西班牙馬德里舉行的SC27第32屆工作組會(huì)議和第18屆全體會(huì)議上,通過(guò)了2005年11月在馬來(lái)西亞會(huì)議上提出的調(diào)整SC27組織結(jié)構(gòu)的提案,將原來(lái)的三個(gè)工作組調(diào)整為現(xiàn)在五個(gè)工作組:WG1:ISMS標(biāo)準(zhǔn)工作組WG2:安全技術(shù)與機(jī)制工作組WG3:信息系統(tǒng)、部件和產(chǎn)品相關(guān)的安全評(píng)估準(zhǔn)則工作組WG4:安全控制與服務(wù)工作組WG5:身份管理與隱私保護(hù)技術(shù)工作組SC27組織機(jī)構(gòu)的這次調(diào)整,專門將WG1做為ISMS標(biāo)準(zhǔn)的工作組,負(fù)責(zé)開(kāi)發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南,充分體現(xiàn)了ISMS的發(fā)展在全球范圍內(nèi)受到高度重視。頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))已經(jīng)發(fā)布的ISMS標(biāo)準(zhǔn)-ISO/IEC27001和ISO/IEC27002目前國(guó)際標(biāo)準(zhǔn)化組織已經(jīng)正式發(fā)布的ISMS國(guó)際標(biāo)準(zhǔn)有兩個(gè):ISO/IEC27001和ISO/IEC27002,它們是ISMS的核心標(biāo)準(zhǔn)。ISO/IEC27001:2005:信息安全管理體系要求Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-RequirementsISO/IEC27002:2005:信息安全管理實(shí)用規(guī)則Informationtechnology-Securitytechniques-CodeofpracticeforInformationsecuritymanagementISO/IEC27001于2005年10月15日正式發(fā)布。它同ISO9001的性質(zhì)一樣,是ISMS的要求標(biāo)準(zhǔn),內(nèi)容共分8章和3個(gè)附錄,其中附錄A中的內(nèi)容直接引用并與ISO/IEC17799:2005第5至U15章一致。ISO/IEC27001:2005適用于所有類型的組織(如企事業(yè)單位、政府機(jī)關(guān)等)。它從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度,為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求,并提供了方法。它還規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。ISO/IEC27001:2005是組織建立和實(shí)施ISMS的依據(jù),也是ISMS認(rèn)證機(jī)構(gòu)實(shí)施審核的依據(jù)。ISO/IEC17799于2000年12月1日正式發(fā)布,2005年6月15日發(fā)布修訂版即ISO/IEC17799:2005,原來(lái)版本同時(shí)廢止。ISO/IEC17799的2005年版本比2000年版本在結(jié)構(gòu)和內(nèi)容上都有較大的變化。頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))根據(jù)今年召開(kāi)的第18屆SC27全體會(huì)議決議,將于2007年4月將ISO/IEC17799的標(biāo)準(zhǔn)序號(hào)更改為ISO/IEC27002。ISMS標(biāo)準(zhǔn)的類型根據(jù)ISOGUIDE72:2001(Guidelinesforthejustificationanddevelopmentofmanagementsystemstandards管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則)和ISO/IEC的相關(guān)導(dǎo)則,ISO/IECJTC1/SC27/WG1將ISMS標(biāo)準(zhǔn)分為4類:TypeA-VocabularyStandardA類一詞匯標(biāo)準(zhǔn)TypeB-RequirementsStandardB類一要求標(biāo)準(zhǔn)TypeC-GuidelinesStandardC類一指南標(biāo)準(zhǔn)TypeD-RelatedStandard D類一相關(guān)標(biāo)準(zhǔn)A類一詞匯標(biāo)準(zhǔn):主要提供標(biāo)準(zhǔn)族中所有標(biāo)準(zhǔn)所涉及的基礎(chǔ)信息,包括通用術(shù)語(yǔ)、基本原則等內(nèi)容。ISO/IEC27000同ISO9000(質(zhì)量管理體系基礎(chǔ)和術(shù)語(yǔ))類似,屬于此類標(biāo)準(zhǔn)。B類一要求標(biāo)準(zhǔn):主要提供管理體系的相關(guān)規(guī)范,它能夠使一個(gè)組織證明其滿足內(nèi)部和外部要求的能力。ISO/IEC27001同ISO9001(質(zhì)量管理體系要求)、ISO14001(環(huán)境管理體系規(guī)范及使用指南)、OHSAS18001(職業(yè)健康安全管理體系規(guī)范)等標(biāo)準(zhǔn)一樣,屬于此類標(biāo)準(zhǔn)。C類一指南標(biāo)準(zhǔn):此類標(biāo)準(zhǔn)目的是為一個(gè)組織實(shí)施要求標(biāo)準(zhǔn)提供相關(guān)的指南,ISO/IEC27002、ISO/IEC27003等同ISO9004(質(zhì)量管理體系業(yè)績(jī)頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))改進(jìn)指南)、ISO14004(環(huán)境管理體系原則、體系和支持技術(shù)通用指南)、OHSMS18002(職業(yè)健康安全管理體系指南)等標(biāo)準(zhǔn)一樣,屬于此類標(biāo)準(zhǔn)。D類一相關(guān)標(biāo)準(zhǔn):此類標(biāo)準(zhǔn)嚴(yán)格說(shuō)不是管理體系標(biāo)準(zhǔn)族中的標(biāo)準(zhǔn),他們主要提供關(guān)于特定方面或相關(guān)支持技術(shù)的進(jìn)一步的指導(dǎo),此類標(biāo)準(zhǔn)一般獨(dú)立開(kāi)發(fā),與要求類標(biāo)準(zhǔn)和指南類標(biāo)準(zhǔn)無(wú)明顯的關(guān)聯(lián)。ISO/IEC27006同ISO19011(質(zhì)量和環(huán)境管理體系審核指南)等標(biāo)準(zhǔn)一樣屬于此類。制訂中的ISO/IEC27000系列標(biāo)準(zhǔn)介紹截至2006年5月18日,ISO/IECJTC1/SC27/WG1正在制定中的標(biāo)準(zhǔn)包括5個(gè),分別是:ISO/IEC27000ISO/IEC27000(Informationsecuritymanagementsystemfundamentalsandvocabulary信息安全管理體系基礎(chǔ)和術(shù)語(yǔ)),屬于A類標(biāo)準(zhǔn)。ISO/IEC27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語(yǔ)及基本原則,是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。ISMS標(biāo)準(zhǔn)族中的每個(gè)標(biāo)準(zhǔn)都有“術(shù)語(yǔ)和定義”部分,但不同標(biāo)準(zhǔn)的術(shù)語(yǔ)間往往缺乏協(xié)調(diào)性,而ISO/IEC27000則主要用于實(shí)現(xiàn)這種協(xié)調(diào)。ISO/IEC27000目前處于WD(工作組草案)階段,正在SC27內(nèi)研究并征求意見(jiàn)。ISO/IE27003頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))ISO/IEC27003(Informationsecuritymanagementsystemimplementationguidance信息安全管理體系實(shí)施指南),屬于C類標(biāo)準(zhǔn)。ISO/IEC27003為建立、實(shí)施、監(jiān)視、評(píng)審、保持和改進(jìn)符合ISO/IEC27001的ISMS提供了實(shí)施指南和進(jìn)一步的信息,使用者主要為組織內(nèi)負(fù)責(zé)實(shí)施ISMS的人員。該標(biāo)準(zhǔn)給出了ISMS實(shí)施的關(guān)鍵成功因素,實(shí)施過(guò)程依照ISO/IEC27001要求的PDCA模型進(jìn)行,并進(jìn)一步介紹了各個(gè)階段的活動(dòng)內(nèi)容及詳細(xì)實(shí)施指南。ISO/IEC27003目前也處在WD階段,正在SC27內(nèi)研究并征求意見(jiàn)。ISO/IEC27004ISO/IEC27004(Informationsecuritymanagementmeasurements信息安全管理測(cè)量),屬于C類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)主要為組織測(cè)量信息安全控制措施和ISMS過(guò)程的有效性提供指南。該標(biāo)準(zhǔn)將測(cè)量分為兩個(gè)類別:有效性測(cè)量和過(guò)程測(cè)量,列出了多種測(cè)量方法,例如調(diào)查問(wèn)卷、觀察、知識(shí)評(píng)估、檢查、二次執(zhí)行、測(cè)試(包括設(shè)計(jì)測(cè)試和運(yùn)行測(cè)試)以及抽樣等。該標(biāo)準(zhǔn)定義了ISMS的測(cè)量過(guò)程:首先要實(shí)施ISMS的測(cè)量,應(yīng)定義選擇測(cè)量措施,同時(shí)確定測(cè)量的對(duì)象和驗(yàn)證準(zhǔn)則,形成測(cè)量計(jì)劃;實(shí)施ISMS測(cè)量的過(guò)程中,應(yīng)定義數(shù)據(jù)的收集、分析和報(bào)告程序并評(píng)審、批準(zhǔn)提供資源以支持測(cè)量活動(dòng)的開(kāi)展;在ISMS的檢查和處置階段,也應(yīng)對(duì)測(cè)量措施加以改進(jìn),這就要求首先定義測(cè)量過(guò)程的評(píng)價(jià)準(zhǔn)則,對(duì)測(cè)量過(guò)程加以監(jiān)控,并定期實(shí)施評(píng)審。目前該標(biāo)準(zhǔn)已經(jīng)處于CD(委員會(huì)草案)階段,預(yù)計(jì)將于2008年完成。ISO/IEC27005頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))ISO/IEC27005(Informationsecurityriskmanagement信息安全風(fēng)險(xiǎn)管理),屬于C類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)給出了信息安全風(fēng)險(xiǎn)管理的指南,其中所描述的技術(shù)遵循ISO/IEC27001中的通用概念、模型和過(guò)程。該標(biāo)準(zhǔn)介紹了一般性的風(fēng)險(xiǎn)管理過(guò)程,并重點(diǎn)闡述了風(fēng)險(xiǎn)評(píng)估的幾個(gè)重要環(huán)節(jié),包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受等。在標(biāo)準(zhǔn)的附錄中,給出了資產(chǎn)、影響、脆弱性以及風(fēng)險(xiǎn)評(píng)估的方法,并列出了常見(jiàn)的威脅和脆弱性。最后還給出了根據(jù)不同通信系統(tǒng)以及不同安全問(wèn)題和威脅選擇控制措施的方法。目前該標(biāo)準(zhǔn)處于FinalCD(最終委員會(huì)草案)階段。ISO/IEC27006ISO/IEC27005(Requirementsfortheaccreditationofbodiesprovidingcertificationofinformationsecuritymanagementsystems信息安全管理體系認(rèn)證機(jī)構(gòu)的認(rèn)可要求),屬于D類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的主要內(nèi)容是對(duì)從事ISMS認(rèn)證的機(jī)構(gòu)提出了要求和規(guī)范,或者說(shuō)它規(guī)定了一個(gè)機(jī)構(gòu)“具備怎樣的條件就可以從事ISMS認(rèn)證業(yè)務(wù)”。目前該標(biāo)準(zhǔn)處于FinalCD(最終委員會(huì)草案)階段。信息安全管理實(shí)用規(guī)則一ISO/IEC27002:2005介紹ISO/IEC27002是國(guó)際標(biāo)準(zhǔn)化組織ISO/IECJTC1/SC27最早發(fā)布的ISMS系列標(biāo)準(zhǔn)之一(當(dāng)時(shí)稱之為ISO/IEC17799,2007年4月正式更名為ISO/IEC27002)。它從信息安全的諸多方面,總結(jié)了一百多項(xiàng)信息安全控制頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))措施,并給出了詳細(xì)的實(shí)施指南,為組織采取控制措施、實(shí)現(xiàn)信息安全目標(biāo)提供了選擇,是信息安全的最佳實(shí)踐。ISO/IEC27002的由來(lái)組織對(duì)信息安全的要求是隨著組織業(yè)務(wù)對(duì)信息技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的應(yīng)用而來(lái)的。人們?cè)诮鉀Q信息安全問(wèn)題以滿足信息安全要求的過(guò)程中,經(jīng)歷了由“重技術(shù)輕管理”到“技術(shù)和管理并重”的兩個(gè)不同階段。當(dāng)信息安全問(wèn)題開(kāi)始出現(xiàn)的初期,人們解決信息安全問(wèn)題的主要途徑就是安裝和使用信息安全產(chǎn)品,如加密機(jī)、防火墻、入侵檢測(cè)設(shè)備等。信息安全技術(shù)和產(chǎn)品的應(yīng)用,一定程度上解決了部分信息安全問(wèn)題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠,即使采購(gòu)和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品,仍然無(wú)法避免一些信息安全事件的發(fā)生。與組織中個(gè)人有關(guān)的信息安全問(wèn)題、信息安全成本和效益的平衡、信息安全目標(biāo)、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等,這些問(wèn)題與信息安全的要求都密切相關(guān),而僅僅通過(guò)產(chǎn)品和技術(shù)是無(wú)法解決的。上個(gè)世紀(jì)90年代末,人們開(kāi)始意識(shí)到管理在解決信息安全問(wèn)題中的作用。1993年9月,由英國(guó)貿(mào)工部(DTI)組織許多企業(yè)參與編寫了一個(gè)信息安全管理的文本一“信息安全管理實(shí)用規(guī)則(Codeofpracticeforinformationsecuritymanagement)”,1995年2月,在該文本的基礎(chǔ)上,英國(guó)發(fā)布了國(guó)家標(biāo)準(zhǔn)BS7799-1:1995。1999年英國(guó)對(duì)該標(biāo)準(zhǔn)進(jìn)行了修訂后發(fā)布1999年版,2000年12月被采納成為國(guó)際標(biāo)準(zhǔn),即ISO/IEC17799:2000。2005年6月15日,該標(biāo)準(zhǔn)被修訂發(fā)布為ISO/IEC17799:2005。2007年4月正式更名為ISO/IEC27002。同時(shí)伴隨著ISO/IEC27002發(fā)展的還有另一個(gè)標(biāo)準(zhǔn),即1998年2月英國(guó)發(fā)布的英國(guó)國(guó)家標(biāo)準(zhǔn)BS7799-2:1998,1999年修訂后發(fā)布1999版。2000年12月,當(dāng)BS7799-1:1999被采納成為國(guó)際標(biāo)準(zhǔn)時(shí),BS7799-2:1999并沒(méi)有被頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))國(guó)際標(biāo)準(zhǔn)化組織采納為國(guó)際標(biāo)準(zhǔn)。2002年英國(guó)又對(duì)BS7799-2:1999進(jìn)行了修訂發(fā)布2002版。2005年10月,這個(gè)標(biāo)準(zhǔn)被采納成為國(guó)際標(biāo)準(zhǔn)ISO/IEC27001:2005。ISO/IEC27002的范圍ISOS/IEC27002為組織實(shí)施信息安全管理提供建議,供一個(gè)組織中負(fù)責(zé)信息安全工作的人員使用。該標(biāo)準(zhǔn)適用于各個(gè)領(lǐng)域、不同類型、不同規(guī)模的組織。對(duì)于標(biāo)準(zhǔn)中提出的任何一項(xiàng)具體的信息安全控制措施,組織應(yīng)考慮本國(guó)的法律法規(guī)以及組織的實(shí)際情況來(lái)選擇使用。參照本標(biāo)準(zhǔn),組織可以開(kāi)發(fā)自己的信息安全準(zhǔn)則和有效的安全管理方法,并提供不同組織間的信任。ISO/IEC27002的主要內(nèi)容ISO/IEC27002:2005是一個(gè)通用的信息安全控制措施集,這些控制措施涵蓋了信息安全的方方面面,是解決信息安全問(wèn)題的最佳實(shí)踐。標(biāo)準(zhǔn)從什么是信息安全、為什么需要信息安全、如何建立安全要求和選擇控制等問(wèn)題入手,循序漸進(jìn),從11個(gè)方面提出了39個(gè)信息安全控制目標(biāo)和133個(gè)控制措施。每一個(gè)具體控制措施,標(biāo)準(zhǔn)還給出了詳細(xì)的實(shí)施方面的信息,以方便標(biāo)準(zhǔn)的用戶使用。值得注意的是,標(biāo)準(zhǔn)中推薦的這133個(gè)控制措施,并非信息安全控制措施的全部。組織可以根據(jù)自己的情況選擇使用標(biāo)準(zhǔn)以外的控制措施來(lái)實(shí)現(xiàn)組織的信息安全目標(biāo)。從內(nèi)容和機(jī)構(gòu)上看,可以將標(biāo)準(zhǔn)分為四個(gè)部分:一、引言部分。主要介紹了信息安全的基礎(chǔ)知識(shí),包括什么是信息安全、為什么需要信息安全、如何建立安全要求、評(píng)估安全風(fēng)險(xiǎn)等8個(gè)方面內(nèi)容。頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))二、標(biāo)準(zhǔn)的通用要素部分(1?3章)。第1章是標(biāo)準(zhǔn)的范圍,給出了該標(biāo)準(zhǔn)的內(nèi)容概述、用途及目標(biāo)。第2章是術(shù)語(yǔ)和定義,介紹了資產(chǎn)、控制措施、指南、信息處理設(shè)施、信息安全等十七個(gè)術(shù)語(yǔ)。第3章則給出了該標(biāo)準(zhǔn)的結(jié)構(gòu)。三、風(fēng)險(xiǎn)評(píng)估和處理部分。該章簡(jiǎn)單介紹了評(píng)估安全風(fēng)險(xiǎn)和處理安全風(fēng)險(xiǎn)的原則、流程及要求。四、控制措施部分(5?15章)。這是標(biāo)準(zhǔn)的主體部分,包括11個(gè)控制措施章節(jié),分別是:5安全方針(控制目標(biāo):1個(gè),控制措施:2個(gè))6信息安全組織(控制目標(biāo):2個(gè),控制措施:11個(gè))7資產(chǎn)管理(控制目標(biāo):2個(gè),控制措施:5個(gè))8人力資源安全(控制目標(biāo):3個(gè),控制措施:9個(gè))9物理和環(huán)境安全(控制目標(biāo):2個(gè),控制措施:13個(gè))10通信和操作管理(控制目標(biāo):10個(gè),控制措施:32個(gè))11訪問(wèn)控制(控制目標(biāo):7個(gè),控制措施:25個(gè))12信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)(控制目標(biāo):6個(gè),控制措施:16個(gè))13信息安全事件管理(控制目標(biāo):2個(gè),控制措施:5個(gè))14業(yè)務(wù)連續(xù)性管理(控制目標(biāo):1個(gè),控制措施:5個(gè))15符合性(控制目標(biāo):3個(gè),控制措施:10個(gè))ISO/IEC27002的使用說(shuō)明ISO/IEC27002:2005作為信息安全管理的最佳實(shí)踐,它的應(yīng)用既有專用性的特點(diǎn),也有通用性特點(diǎn)。頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))說(shuō)它具有專用性,是因?yàn)樽鳛樾畔踩芾眢w系標(biāo)準(zhǔn)族(ISMS標(biāo)準(zhǔn))中的一員,目前它與ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005是組合使用的,ISO/IEC27001:2005中的規(guī)范性附錄A就是ISO/IEC27002:2005的控制目標(biāo)和控制措施集。對(duì)于期望建設(shè)和實(shí)施ISMS的組織,應(yīng)根據(jù)ISO/IEC27001:2005的要求,選擇ISMS范圍,制定信息安全方針和目標(biāo),實(shí)施風(fēng)險(xiǎn)評(píng)估,根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,選擇控制目標(biāo)和控制措施,制定和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃,執(zhí)行內(nèi)部審核和管理評(píng)審,以持續(xù)改進(jìn)。ISO/IEC27002:2005的通用性,體現(xiàn)在標(biāo)準(zhǔn)中提出的控制措施是從信息安全工作實(shí)踐中總結(jié)出來(lái)的,是最佳實(shí)踐。任何規(guī)模、任何性質(zhì)的有信息安全要求的組織,不管其是否建設(shè)ISMS,都可以從標(biāo)準(zhǔn)中找到適合自己使用的控制措施來(lái)滿足其信息安全要求。另外,ISO/IEC27002:2005中提出的控制目標(biāo)和控制措施,對(duì)一個(gè)具體的組織并不一定全部適用,也不一定就是信息安全控制措施的全部。任何組織還可以根據(jù)具體情況選擇ISO/IEC27002:2005以外的控制目標(biāo)和控制措施。我國(guó)采用ISO/IEC17799情況的說(shuō)明我國(guó)政府主管部門十分重視信息安全管理國(guó)家標(biāo)準(zhǔn)的制定。2002年,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)()成立之初,其第七工作組(WG7)就開(kāi)始了ISO/IEC17799的研究和制標(biāo)工作。2005年6月15日,我國(guó)發(fā)布了國(guó)家標(biāo)準(zhǔn)“GB/T19716-2005信息安全管理實(shí)用規(guī)則”,修改采用ISO/IEC17799:2000。2006年,根據(jù)ISMS國(guó)際標(biāo)準(zhǔn)的發(fā)展和我國(guó)的實(shí)際需要,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)又提出了GB/T19716-2005的修訂計(jì)劃和對(duì)應(yīng)ISO/IEC27001:2005等相關(guān)ISMS標(biāo)準(zhǔn)的制定和研究計(jì)劃。相信不久,對(duì)應(yīng)頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))最新ISMS國(guó)際標(biāo)準(zhǔn)的國(guó)家標(biāo)準(zhǔn)就會(huì)發(fā)布,以供大家遵照使用。信息安全管理體系要求一ISO/IEC27001:2005介紹發(fā)展:一個(gè)重要的里程碑ISO/IEC27001:2005的名稱是“Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements”,可翻譯為“信息技術(shù)-安全技術(shù)-信息安全管理體系要求”。在ISO/IEC27001:2005標(biāo)準(zhǔn)出現(xiàn)之前,組織只能按照英國(guó)標(biāo)準(zhǔn)研究院(BritishStandardInstitute,簡(jiǎn)稱BSI)的BS7799-2:2002標(biāo)準(zhǔn),進(jìn)行認(rèn)證?,F(xiàn)在,組織可以獲得全球認(rèn)可的ISO/IEC27001:2005標(biāo)準(zhǔn)的認(rèn)證。這標(biāo)志著ISMS的發(fā)展和認(rèn)證已向前邁進(jìn)了一大步:從英國(guó)認(rèn)證認(rèn)可邁進(jìn)國(guó)際認(rèn)證認(rèn)可。ISMS的發(fā)展和認(rèn)證進(jìn)入一個(gè)重要的里程碑。這個(gè)新ISMS標(biāo)準(zhǔn)正成為最新的全球信息安全武器。目的:認(rèn)證ISO/IEC27001:2005標(biāo)準(zhǔn)設(shè)計(jì)用于認(rèn)證目的,它可幫助組織建立和維護(hù)頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))ISMS。標(biāo)準(zhǔn)的4-8章定義了一組ISMS要求。如果組織認(rèn)為其ISMS滿足該標(biāo)準(zhǔn)4-8章的所有要求,那么該組織就可以向ISMS認(rèn)證機(jī)構(gòu)申請(qǐng)ISMS認(rèn)證。如果認(rèn)證機(jī)構(gòu)對(duì)組織的ISMS進(jìn)行審核(初審)后,其結(jié)果是符合ISO/IEC27001:2005的要求,那么它就會(huì)頒發(fā)ISMS證書,聲明該組織的ISMS符合ISO/IEC27001:2005標(biāo)準(zhǔn)的要求。然而,ISO/IEC27001:2005標(biāo)準(zhǔn)與ISO/IEC9001:2002標(biāo)準(zhǔn)(質(zhì)量管理體系標(biāo)準(zhǔn))不同。ISO/IEC27001:2005標(biāo)準(zhǔn)的要求十分“嚴(yán)格”。該標(biāo)準(zhǔn)4-8章有許多信息安全管理要求。這些要求是“強(qiáng)制性要求”。只要有任何一條要求得不到滿足,就不能聲稱該組織的ISMS符合ISO/IEC27001:2005標(biāo)準(zhǔn)的要求。相比之下,ISO/IEC9001:2002標(biāo)準(zhǔn)的第7章的某些要求(或條款),只要合理,可允許其質(zhì)量管理體系(QMS)作適當(dāng)刪減。因此,不管是第一方審核、第二方審核,還是第三方審核,評(píng)估組織的ISMS對(duì)ISO/IEC27001:2005標(biāo)準(zhǔn)的符合性是十分嚴(yán)格的。特點(diǎn):信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估ISO/IEC27001:2005標(biāo)準(zhǔn)適用于所有類型的組織,而不管組織的性質(zhì)和規(guī)模如何。該新標(biāo)準(zhǔn)的特點(diǎn)之一是基于組織的資產(chǎn)風(fēng)險(xiǎn)評(píng)估。也就是說(shuō),該標(biāo)準(zhǔn)要求組織通過(guò)業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估的方法,來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)其ISMS,確保其信息資產(chǎn)的保密性、可用性和完整性。(1)信息資產(chǎn)ISO/IEC27001:2005所指“信息”可包括所有形式的數(shù)據(jù)、文件、通信件(如email和傳真等)、交談(如電話等)、消息、錄音帶和照片等。信息資產(chǎn)是被認(rèn)為對(duì)組織具有“價(jià)值”的,以任何方式存儲(chǔ)的信息。通常,系統(tǒng)(如信息頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))系統(tǒng)和數(shù)據(jù)庫(kù)等)也可作為一類信息資產(chǎn)。(2)安全風(fēng)險(xiǎn)組織的信息資產(chǎn)可面臨許多威脅,包括人員(內(nèi)部人員和外人員)誤操作(不管有意的,還是無(wú)意的)、盜竊、惡意代碼和自然災(zāi)害等。另一方面,組織本身存在某些可被威脅者利用或進(jìn)行破壞的薄弱環(huán)節(jié),包括員工缺乏安全意識(shí)、基礎(chǔ)設(shè)施中的弱點(diǎn)和控制中的弱點(diǎn)等。這就導(dǎo)致組織的密級(jí)信息資產(chǎn)和應(yīng)用系統(tǒng)可能遭受未授權(quán)訪問(wèn)、修改、泄露或破壞,而使其造成損失,包括經(jīng)濟(jì)損失、公司形象損失和顧客信心損失等。(3)風(fēng)險(xiǎn)評(píng)估與處理ISO/IEC27001:2005標(biāo)準(zhǔn)要求組織利用風(fēng)險(xiǎn)評(píng)估的方法,確定每一個(gè)關(guān)鍵信息資產(chǎn)的風(fēng)險(xiǎn),并根據(jù)各類信息資產(chǎn)的重要度和價(jià)值,選擇適當(dāng)?shù)目刂拼胧?,減緩風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理是ISO/IEC27001:2005標(biāo)準(zhǔn)要求的兩個(gè)相互關(guān)聯(lián)的必須的活動(dòng)。一個(gè)組織建立ISMS體系,要進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理。其主要過(guò)程是:1)制定組織的ISMS方針和風(fēng)險(xiǎn)接受準(zhǔn)則;2)定義組織的風(fēng)險(xiǎn)評(píng)估方法;3)識(shí)別要保護(hù)的信息資產(chǎn),并進(jìn)行登記;4)識(shí)別安全風(fēng)險(xiǎn),包括識(shí)別資產(chǎn)所面臨的威脅、組織的脆弱點(diǎn)和造成的影響等;5)對(duì)照組織的風(fēng)險(xiǎn)接受準(zhǔn)則,評(píng)價(jià)和確定已估算的風(fēng)險(xiǎn)的嚴(yán)重性、可否接受;6)形成風(fēng)險(xiǎn)評(píng)估報(bào)告;7)制定風(fēng)險(xiǎn)處理計(jì)劃,選擇風(fēng)險(xiǎn)控制措施;標(biāo)準(zhǔn)明確規(guī)定,有4種風(fēng)險(xiǎn)處理方法:采用適當(dāng)?shù)目刂拼胧⒔邮茱L(fēng)險(xiǎn)、頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))避免風(fēng)險(xiǎn)和轉(zhuǎn)移風(fēng)險(xiǎn);8)執(zhí)行風(fēng)險(xiǎn)處理計(jì)劃,將風(fēng)險(xiǎn)降低到可接受的級(jí)別。從理論上,風(fēng)險(xiǎn)只能降低(或減少),而不能完全消除。選擇控制措施的原則是既能使本組織的資產(chǎn)受到與其價(jià)值和保密等級(jí)相符的保護(hù),將其所受的風(fēng)險(xiǎn)降低到可接受的水準(zhǔn),又能使所需要的費(fèi)用在該組織的預(yù)算范圍之內(nèi),使該組織能夠保持良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài)。另外,風(fēng)險(xiǎn)是動(dòng)態(tài)的。風(fēng)險(xiǎn)評(píng)估活動(dòng)應(yīng)定期進(jìn)行。特別是在出現(xiàn)新的信息資產(chǎn)、技術(shù)發(fā)生重大變化和內(nèi)外環(huán)境發(fā)生重大變化時(shí),風(fēng)險(xiǎn)評(píng)估應(yīng)重新進(jìn)行。要求:基于過(guò)程“PDCA”過(guò)程圖1ISMS“PDCA”過(guò)程周期國(guó)際標(biāo)準(zhǔn)化組織(ISO)使用Plan-Do-Check-Act(即計(jì)劃-實(shí)施-檢查-糾正)過(guò)程模型組織ISO/IEC27001:2005標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)4-8章規(guī)定了ISMS的建立、實(shí)頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))施與運(yùn)行、監(jiān)督與評(píng)審、維護(hù)與改進(jìn)所要遵循的活動(dòng)(過(guò)程),并形成一個(gè)周期,稱“PDCA”周期,如圖1(2)過(guò)程方法過(guò)程是指使用資源把輸入轉(zhuǎn)為輸出的一組活動(dòng)。更通俗地說(shuō),過(guò)程就是將原料(輸入)加工成產(chǎn)品(輸出)的工作(活動(dòng))。輸入之所以能轉(zhuǎn)為輸出是因?yàn)殚_(kāi)展了某些工作或活動(dòng)。ISO/IEC27001:2005標(biāo)準(zhǔn)4-8章規(guī)定了一組ISMS過(guò)程。該標(biāo)準(zhǔn)也要求組織使用“過(guò)程方法”來(lái)管理和控制其ISMS過(guò)程。即:1)組織必須對(duì)應(yīng)4-8章的相應(yīng)要求,建立其實(shí)際的ISMS過(guò)程;2)組織的ISMS需按“過(guò)程方法”進(jìn)行管理和控制。這意味著組織的ISMS要包含有許多符合該標(biāo)準(zhǔn)4-8章規(guī)定的、相互協(xié)調(diào)的過(guò)程。通常,一個(gè)過(guò)程的輸出便是另一個(gè)過(guò)程的輸入。通過(guò)這些輸出和輸入把各個(gè)ISMS過(guò)程“粘”在一起,而形成一個(gè)相互依賴的統(tǒng)一整體。標(biāo)準(zhǔn)還規(guī)定,某些ISMS過(guò)程要用形成文件的程序加以控制。(3)過(guò)程要求ISO/IEC27001:2005標(biāo)準(zhǔn)4-8章規(guī)定了一組ISMS過(guò)程。因此,從另一個(gè)角度,ISO/IEC27001:2005標(biāo)準(zhǔn)的要求就是過(guò)程要求。組織的ISMS必要滿足這些過(guò)程要求。注:與ISO/IEC27001:2005正文內(nèi)容不同,ISO/IEC27001:2005附錄A的內(nèi)容屬于控制要求。頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))ISMS認(rèn)證什么是ISMS認(rèn)證所謂認(rèn)證,即由可以充分信任的第三方認(rèn)證機(jī)構(gòu)依據(jù)特定的審核準(zhǔn)則,按照規(guī)定的程序和方法對(duì)受審核方實(shí)施審核,以證實(shí)某一經(jīng)鑒定的產(chǎn)品或服務(wù)符合特定標(biāo)準(zhǔn)或規(guī)范性文件的活動(dòng)。針對(duì)ISO/IEC27001的受認(rèn)可的認(rèn)證,是對(duì)組織ISMS符合ISO/IEC27001要求的一種認(rèn)證。這是一種通過(guò)權(quán)威的第三方審核之后提供的保證:受認(rèn)證的組織實(shí)施了ISMS,并且符合ISO/IEC27001標(biāo)準(zhǔn)的要求。通過(guò)認(rèn)證的組織,將會(huì)被注冊(cè)登記。為什么要進(jìn)行ISMS認(rèn)證根據(jù)CSI/FBI的ComputerCrimeandSecuritySurvey2005中的統(tǒng)計(jì),65%的組織至少發(fā)生了一次信息安全事故,而在這份報(bào)告中同時(shí)表明有97%的組織部署了防火墻,96%組織部署了殺毒軟件。可見(jiàn),我們的信息安全手段并不奏效,信息安全現(xiàn)狀不容樂(lè)觀。實(shí)際上,只有在宏觀層次上實(shí)施了良好的信息安全管理,即采用國(guó)際上公認(rèn)的最佳實(shí)踐或規(guī)則集等,才能使微觀層次上的安全,如物理措施等,實(shí)現(xiàn)其恰當(dāng)?shù)淖饔?。采用ISMS標(biāo)準(zhǔn)并得到認(rèn)證無(wú)疑是組織應(yīng)該考慮的方案之一。1)預(yù)防信息安全事故,保證組織業(yè)務(wù)的連續(xù)性,使組織的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù),包括防范:重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用;重要業(yè)務(wù)所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷;2)節(jié)省費(fèi)用。一個(gè)好的ISMS不僅可通過(guò)避免安全事故而使組織節(jié)省費(fèi)用,頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))而且也能幫助組織合理籌劃信息安全費(fèi)用支出,包括:依據(jù)信息資產(chǎn)的風(fēng)險(xiǎn)級(jí)別,安排安全控制措施的投資優(yōu)先級(jí);對(duì)于可接受的信息資產(chǎn)的風(fēng)險(xiǎn),不投資安全控制;3)保持組織良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài),提高在公眾中的形象和聲譽(yù),最大限度的增加投資回報(bào)和商業(yè)機(jī)會(huì);4)增強(qiáng)客戶、合作伙伴等相關(guān)方的信任和信心。MS認(rèn)證適合何種類型的組織ISO/IEC27001:2005中明確指出,標(biāo)準(zhǔn)中規(guī)定的要求是通用的,適用于所有的組織,無(wú)論其類型、規(guī)模和業(yè)務(wù)性質(zhì)怎樣。ISO/IEC27001:2005可以作為評(píng)估組織滿足客戶、組織本身以及法律法規(guī)所確定的信息安全要求的能力的依據(jù),無(wú)論是自我評(píng)估還是獨(dú)立第三方認(rèn)證。就目前國(guó)內(nèi)發(fā)展來(lái)看,最先確定實(shí)施ISMS并考慮接受ISO/IEC27001:2005認(rèn)證的組織,其驅(qū)動(dòng)力都比較明顯,這種驅(qū)動(dòng)力可以是外部的,也可以是發(fā)自內(nèi)部的。這些組織主要集中在以下幾個(gè)行業(yè):半導(dǎo)體行業(yè):尤其是主業(yè)為集成電路芯片制造的組織。由于國(guó)內(nèi)最近幾年IC產(chǎn)業(yè)發(fā)展迅猛,大量國(guó)外設(shè)計(jì)企業(yè)的制造訂單都飛往國(guó)內(nèi)一些大型的芯片制造企業(yè),鑒于IP(知識(shí)產(chǎn)權(quán))保護(hù)的重要性,來(lái)自國(guó)外客戶的明確要求,使得國(guó)內(nèi)芯片制造企業(yè)必須在信息安全管理方面做出保證,ISO/IEC27001:2005證書就是最好的選擇。軟件外包行業(yè):情況與芯片制造企業(yè)類似,近年來(lái),承擔(dān)軟件定制開(kāi)發(fā)的很多企業(yè),也面臨外部客戶明確提出的信息保護(hù)的要求。金融業(yè)和保險(xiǎn)業(yè):一直以來(lái),金融和保險(xiǎn)行業(yè)對(duì)信息安全的重視都是非頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))常高的,保護(hù)客戶信息、保證業(yè)務(wù)運(yùn)轉(zhuǎn)的可靠性和持續(xù)性,這都是此行業(yè)組織實(shí)施ISMS,并尋求認(rèn)證的驅(qū)動(dòng)力。通訊行業(yè):特別是一些大型的通信設(shè)備提供商,由于牽涉到對(duì)自身核心技術(shù)的保護(hù),對(duì)信息安全加以重視并全面實(shí)施信息安全管理體系就成了這些企業(yè)必然的選擇。電子商務(wù)行業(yè):對(duì)于電子商務(wù)交易平臺(tái)、電子商務(wù)支付平臺(tái),由于客戶以及合作伙伴對(duì)交易過(guò)程的高度安全需求,導(dǎo)致這類組織都會(huì)在信息安全建設(shè)方面加大投入建設(shè),全面的信息安全管理體系。其他行業(yè):只要是涉及到IP保護(hù)、行業(yè)規(guī)范和法律法規(guī)要求、自身發(fā)展需求的,組織都會(huì)逐漸在信息安全建設(shè)上加強(qiáng)力度,就拿美國(guó)Sarbanes-Oxley法案(薩班斯法案,簡(jiǎn)稱SOX法案)來(lái)說(shuō),由于對(duì)在SEC注冊(cè)的上市公司提出了內(nèi)部控制審核的要求,相關(guān)組織必然會(huì)在信息安全方面投入關(guān)注,因?yàn)樾畔踩刂剖瞧髽I(yè)內(nèi)部控制必不可少的一個(gè)部分。ISMS認(rèn)證狀況及發(fā)展趨勢(shì)ISMS證書統(tǒng)計(jì)自2002年以來(lái),全球許多組織開(kāi)始建立和實(shí)施ISMS,并認(rèn)識(shí)到ISMS認(rèn)證給組織帶來(lái)的利益。截至Saturday,06January2007,全球通過(guò)的ISMS認(rèn)證的組織已達(dá)3274家,其中包括我國(guó)大陸的41家(在xisec網(wǎng)站上列出了39個(gè)證書的企業(yè)名稱),臺(tái)灣112家,香港26家和澳門3家。各個(gè)國(guó)家通過(guò)ISMS的企業(yè)數(shù)量如下表所示:頁(yè)腳內(nèi)容信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))Japan1850Mexico11SlovakRepublic2UK334Spain9SouthAfrica2India290Sweden9SriLanka2Taiwan123Philippines8Thailand2Germany75Iceland7Armenia1Hungary52UAE7Chile1Korea46Greece5Egypt1Italy42SaudiArabia5Lebanon1USA42Kuwait4Lithuania1China41Russian4Luxemburg1Netherlands31Argentina3Macedonia1HongKong29Canada3Moldova1Singapore28Croatia3Morocco1Australia21France3NewZealand1Switzerland19IsleofMan3Pakistan1Ireland17Macau3Peru1Poland17Slovenia3Qatar1Czech16Bahrain2Serbiaand1Finland15Belgium2Ukraine1Brazil14Colombia2Uruguay1Malaysia14Denmark2Vietnam1Norway14Indonesia2Turkey12Oman2RelativeTotal3287Austria11Romania2AbsoluteTotal3274表一:Saturday,06January2007全球ISMS證書數(shù)量及分布(數(shù)據(jù)來(lái)源XISEC)ISMS證書統(tǒng)計(jì)中國(guó)大陸地區(qū)目前已經(jīng)取得ISMS認(rèn)證的企業(yè)有44家(xisec網(wǎng)站上只統(tǒng)計(jì)了41個(gè)證書),大多數(shù)都是從去年下半年開(kāi)始新出現(xiàn)的,詳見(jiàn)表二。在這44個(gè)證書中,按位置劃分:上海11家;深圳9家;大連6家;北京8家;沈陽(yáng)2家;廈門、遼寧、嘉興、山東、蘇州、東莞、廣州、四川各1家。頁(yè)腳內(nèi)容

信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))按行業(yè)劃分:生產(chǎn)業(yè)企業(yè)有10家;軟件開(kāi)發(fā)是10家;通信業(yè)有8家;1丁服務(wù)5家;咨詢業(yè)3家;電力行業(yè)2家;保險(xiǎn)業(yè)2家;廣告、業(yè)務(wù)流程外包、數(shù)據(jù)恢復(fù)、互聯(lián)網(wǎng)各1家。表二:國(guó)內(nèi)通過(guò)ISMS認(rèn)證的各企業(yè)信息如下表所示:數(shù)量企業(yè)名稱位置所屬行業(yè)主營(yíng)業(yè)務(wù)1埃森哲信息技術(shù)(大連)有限公司大連咨詢業(yè)顧問(wèn)、會(huì)計(jì)師、審計(jì)師、法律2上海市先進(jìn)半導(dǎo)體制造有限公司上海生產(chǎn)業(yè)專門制造仿真半導(dǎo)體及雙極型內(nèi)容較高的混合訊號(hào)半導(dǎo)體3畢博信息技術(shù)(上海)有限公司上海咨詢業(yè)提供戰(zhàn)略咨詢、應(yīng)用服務(wù)、技術(shù)解決方案及管理外包服務(wù)4北京核心軟件北京軟件開(kāi)發(fā)為客戶和政府部門提供多種IT系統(tǒng)解決方案,提供適合顧客需求的系統(tǒng)集成方案,同時(shí)從事軟件新產(chǎn)品的研發(fā)和軟件產(chǎn)品出口工作5北京移動(dòng)通信有限公司數(shù)據(jù)中心北京通信業(yè)數(shù)據(jù)中心6北京中海神鷹科技發(fā)展有限公司北京咨詢及開(kāi)發(fā)主要從事信息化建設(shè)以及信息安全系統(tǒng)的架構(gòu)、咨詢和建設(shè)實(shí)施,還提供信息技術(shù)的應(yīng)用開(kāi)發(fā)、流程設(shè)計(jì)和技術(shù)服務(wù)。7博朗軟件開(kāi)發(fā)(上海)有限公司上海軟件開(kāi)發(fā)軟件開(kāi)發(fā)8北京恒信聯(lián)邦高科信息技術(shù)有限公司北京軟件開(kāi)發(fā)、系統(tǒng)集成專門從事計(jì)算機(jī)軟件開(kāi)發(fā)、系統(tǒng)集成業(yè)務(wù),致力于為各個(gè)行業(yè)提供先進(jìn)、可靠、完備的電子解決頁(yè)腳內(nèi)容

信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))數(shù)量企業(yè)名稱位置所屬行業(yè)主營(yíng)業(yè)務(wù)方案。9北京電信公司北京通信業(yè)電信運(yùn)營(yíng)商10大連華信計(jì)算機(jī)技術(shù)有限公司大連軟件開(kāi)發(fā)從事計(jì)算機(jī)應(yīng)用軟件開(kāi)發(fā)、系統(tǒng)集成、軟件外包服務(wù)及IT教育與培訓(xùn)等11大連信華信息技術(shù)有限公司大連軟件開(kāi)發(fā)是以大量的對(duì)日商業(yè)流程外包(BPO)為主要業(yè)務(wù)的信息技術(shù)公司12廣東省廣博報(bào)堂廣告有限公司廣州廣告公司廣告13簡(jiǎn)柏特(大連)有限公司大連外包為通用電氣各業(yè)務(wù)集團(tuán)以及其他知名跨國(guó)公司提供各種業(yè)務(wù)流程外包服務(wù),包括金融保險(xiǎn)業(yè)的交易處理、財(cái)務(wù)服務(wù)、信息技術(shù)支持、客戶服務(wù)中心、員工服務(wù)、工業(yè)供應(yīng)鏈管理等。14GDS萬(wàn)國(guó)數(shù)據(jù)(深圳)深圳數(shù)據(jù)災(zāi)難恢復(fù)數(shù)據(jù)災(zāi)難恢復(fù)15廣東生益科技股份有限公司東莞市生產(chǎn)業(yè)生產(chǎn)銷售敷銅板和粘結(jié)片等產(chǎn)品16廣東電信有限公司深圳分公司深圳龍崗互聯(lián)網(wǎng)數(shù)據(jù)中心深圳通信業(yè)數(shù)據(jù)中心17和艦科技(蘇州)有限公司蘇州生產(chǎn)業(yè)雄厚外資的先進(jìn)晶圓專工企業(yè)18山東黃島電廠山東電力行業(yè)山東電網(wǎng)主力發(fā)電廠19深圳市華為技術(shù)有限公司深圳通信業(yè)業(yè)務(wù)涵蓋移動(dòng)、寬帶、IP、光網(wǎng)絡(luò)、電信增值業(yè)務(wù)和終端等領(lǐng)域頁(yè)腳內(nèi)容

信息安全等級(jí)保護(hù)管理辦法(公通字2007]43號(hào))數(shù)量企業(yè)名稱位置所屬行業(yè)主營(yíng)業(yè)務(wù)20益德穿梭科技(大連)有限公司大連軟件硬件開(kāi)發(fā)計(jì)算機(jī)軟、硬件產(chǎn)品的開(kāi)發(fā)與銷售,國(guó)內(nèi)外客戶的計(jì)算機(jī)軟件項(xiàng)目的承包,計(jì)算機(jī)數(shù)據(jù)處理,技術(shù)咨詢。21捷智半導(dǎo)體(上海)有限公司上海生產(chǎn)業(yè)半導(dǎo)體22浙江嘉興電力局京也力口八電力行業(yè)23川崎重工(大連)科技開(kāi)發(fā)有限公司大連IT服務(wù)提供IT服務(wù),包括系統(tǒng)監(jiān)視運(yùn)行等更廣泛的解決方案及技術(shù)服務(wù)24深圳市金德精密五金有限公司深圳生產(chǎn)業(yè)主要從事打印機(jī)、復(fù)印機(jī)、電腦機(jī)箱等產(chǎn)品的精密五金配

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論